<html><body><div style="color:#000; background-color:#fff; font-family:times new roman, new york, times, serif;font-size:12pt"><div><span>Thanks for the great material I am trying to consolidate it now. </span></div><div><span></span> </div><div><span>Thanks,</span></div><div><span>David </span></div><div><br></div>  <div style="font-family: times new roman, new york, times, serif; font-size: 12pt;"> <div style="font-family: times new roman, new york, times, serif; font-size: 12pt;"> <div dir="ltr"> <font size="2" face="Arial"> <div style="margin: 5px 0px; padding: 0px; border: 1px solid rgb(204, 204, 204); height: 0px; line-height: 0; font-size: 0px;" class="hr" contentEditable="false" readonly="true"></div>  <b><span style="font-weight: bold;">From:</span></b> Andrew Muller <andrew@ionize.com.au><br> <b><span style="font-weight: bold;">To:</span></b> Colin Watson <colin.watson@owasp.org> <br><b><span style="font-weight:
 bold;">Cc:</span></b> owasp-testing@lists.owasp.org <br> <b><span style="font-weight: bold;">Sent:</span></b> Thursday, January 10, 2013 8:00 PM<br> <b><span style="font-weight: bold;">Subject:</span></b> Re: [Owasp-testing] Can you please give me some guidence on the Business Logic Section?<br> </font> </div> <br>
<div id="yiv1177538738"><style type="text/css">#yiv1177538738 p {margin:0;}</style><div><div style="color: rgb(0, 0, 0); font-family: times new roman, new york, times, serif; font-size: 12pt;"><div>Some great material there, David. Give us a shout if you'd like help transposing this information into the Business Logic section of the guide.</div>
<div> </div>
<div>regards,</div>
<div>  Andrew<br><br></div>
<div>
<div style="margin: 5px 0px; padding: 0px; border: 1px solid rgb(204, 204, 204); height: 0px; line-height: 0; font-size: 0px;" class="hr" contentEditable="false" readonly="true"></div>

<div style="color: rgb(0, 0, 0); font-family: Helvetica, Arial, sans-serif; font-size: 12pt; font-style: normal; font-weight: normal; text-decoration: none;"><b>From: </b>"Colin Watson" <colin.watson@owasp.org><br><b>To: </b>owasp-testing@lists.owasp.org<br><b>Sent: </b>Tuesday, 8 January, 2013 1:51:26 AM<br><b>Subject: </b>Re: [Owasp-testing] Can you please give me some guidence on the Business Logic Section?<br><br>David<br><br>I think all the contributors to this thread have been very helpful.<br><br>I have to admit that I added some of the suggestions to section 4.7<br>Business Logic when the request was made to come up with ideas. My<br>thoughts at the time were to have them as examples, rather than being<br>numbered tests like in the rest of the testing guide.<br><br>Some other sources of ideas, or that might be referenced are:<br><br>   The Common Misuse Scoring System (CMSS): Metrics for Software<br>Feature Misuse
 Vulnerabilities<br>   NISTIR 7864<br>   http://csrc.nist.gov/publications/nistir/ir7864/nistir-7864.pdf<br><br>   Business Logic Abuse, Ponemon<br>   http://buzz.silvertailsystems.com/PonemonStudy.html?/study<br>   http://buzz.silvertailsystems.com/Ponemon_UK.html<br><br>We should remember that applications might be used to attack other<br>users and other systems. Additionally, the trusted insider might be<br>able to undertake attacks that other users are unable to commit. The<br>attacks in online gaming sometimes add extra insight into what might<br>could occur in other areas, e.g.:<br><br>   Security Issues in Online Games<br>   Jianxin Jeff Yan and Hyun-Jin Choi<br>   http://homepages.cs.ncl.ac.uk/jeff.yan/TEL.pdf<br><br>   Securing Virtual Worlds Against Real Attack<br>   Dr. Igor Muttik, McAfee<br>  
 https://www.info-point-security.com/open_downloads/2008/McAfee_wp_online_gaming_0808.pdf<br><br>My thoughts on 4.7 would be to use the ideas in v3 and this thread to<br>write up something generic, describe how best to identify suitable<br>tests, add plenty of interesting references, and have a small number<br>of single-page *example* business logic flaws, maybe boxed out so they<br>are not mistaken as the only tests that need to be performed.<br><br>Colin<br>_______________________________________________<br>Owasp-testing mailing list<br>Owasp-testing@lists.owasp.org<br>https://lists.owasp.org/mailman/listinfo/owasp-testing<br></div><br></div></div></div><br>_______________________________________________<br>Owasp-testing mailing list<br><a href="mailto:Owasp-testing@lists.owasp.org" ymailto="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-testing"
 target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br><br><br> </div> </div>  </div></body></html>